Imposta Biellacitta come Pagina Iniziale - Set Biellacitta as Home page Aggiungi Biellacitta ai tuoi Preferiti   biella it          
  biella          
 
Home Biella
Forum Biella
Chat Biella
Link Biella
Web Design Biella
Pubblicità Biella
Collabora
Faq
Guida Portale Biella
Contatta Biellacitta.com
 
Speciali Biella
tessile biella
webmaster biella
oropa
informatica biella
biella lavoro
immobiliare biella
cucina biellese
Game Central biella
salute e benessere
From World biella
Che tipo di connessione usi ?
14.4
28.8 - 33.6
56
64 Isdn 1 lin.
128 Isdn 2 lin.
adsl 256
adsl 640
superiore
 
   
web cam oropa

OROPA

cartina biella
 
ARTICOLI FAQ GUIDA FORUM COLLABORA
In collaborazione con :

VIRUS OPASOFT.A

Autore: PAOLinux

VIRUS OPASOFT.A

DESCRIZIONE

Si tratta di un virus residente in memoria che si diffonde sfruttando le cartelle condivise da Windows, nella rete. Scarica, da opportuni siti, copie di se stesso sulle cartelle condivise. Altri nomi con cui è possibile incontrare l’infezione sono: Backdoor.Opasoft, OPASOFT e W32.Opaserv.Worm

PROPAGAZIONE

Esegue una scansione delle macchine dello stesso dominio o gruppo di lavoro e accede alle cartelle condivise utilizzando il protocollo SMB (Server Message Block Protocol). Si registra come processo e rintraccia informazioni del tipo nome macchina, dominio e invia le informazioni al sito http://www.opsoft.com.
Copia il file SCRSVR.EXE nella directory C:\Windows, sostituendo il file originale, in modo che l’infezione venga eseguita dal sistema al posto del processo originale. Crea il file SCRSIN.DAT e SCRSOUT.DAT nella directory C:\, che servono per il collegamento al sito e l’invio delle informazioni ricavate dal sistema.
Modifica il registro di configurazione, aggiungendo le chiavi necessarie per l’esecuzione automatica.

ISTRUZIONI PER RIMUOVERE IL VIRUS

1. Riavviare il PC in modalità provvisoria e scollegare il cavo di rete;
2. Aprire il registro di configurazione di Windows e aprire la chiave:
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUN
3. Nella parte destra della finestra cancellare la voce:
ScrSvr = C:\Windows\ScrSVr.exe
4. Aprire il file WIN.INI che si trova nella cartella C:\WINDOWS. Nella sezione [windows] cercare la riga che iniza con “run=” e cancellare “C:\Windows\SCRSVR.EXE”;
5. Aprire il Task Editor di Windows e terminare i processi relativi all’infezione;
6. Eseguire la scansione del sistema con un antivirus aggiornato;
7. Ricollegare il cavo di rete e riavviare il PC.
Analisi W32.Opaserv Worm
Opaserv è un worm “network-aware” cioè in grado di replicare se stesso all’interno delle condivisioni di rete attraverso un file eseguibile con nome “scrsvr.exe”.
Il worm tenta di scaricare dal sito www.opasoft.com degli aggiornamenti, anche se il sito è stato già chiuso.
Il worm controlla indirizzi IP all'interno di reti locali e altri intervalli di indirizzi IP scelti casualmente. Durante la scansione, il worm invia dei dati alla porta 137 (NETBIOS Name Service). Nel caso ottenga una replica da parte dell'indirizzo IP testato il worm controlla i dati ricevuti. Se sono presenti determinati valori, il worm comincia la sua routine di infezione attaccando il computer remoto. La routine di infezione invia all'indirizzo IP selezionato dei pacchetti SMB (Server Message Block) usando la porta 139 (NETBIOS Session Service), che hanno lo scopo di creare dei file nella cartella Windows del computer remoto.

I fattori che evidenziano l’infezione sono i seguenti:
• L’esistenza dei file scrsin.dat e scrsout.dat all’interno della cartella radice del disco logico C: indica una infezione locale (il worm è stato eseguito localmente e non attraverso un computer remoto)
• L’esistenza del file tmp.ini nella cartella radice del disco logico C: indica un’infezione da remoto (il worm è stato eseguito da remoto sulla macchina)
• La chiave di registro HKLM\Software\Microsoft\Windows\Current Version\Run contiene una stringa chiamata ScrSvr o ScrSvrOld che è impostata a “c:\tmp.ini”

Subito dopo l’esecuzione, Opaserv si comporta come segue:
1. cerca l’esistenza del valore “ScrSvrOld” nella chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Se il valore viene trovato si appresterà a rimuovere il file al quale si riferisce.
2. se il valore non esiste compie una ricerca alternativa sul valore ScrSvr nella chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Nel caso in cui nemmeno quest’ultimo valore venisse trovato il worm ne creerà uno sotto la medesima chiave con le seguenti caratteristiche: ScrSvr=%Windows%\ScrSvr.exe
3. controlla se è stato eseguito dal file %Windows%\ScrSvr.exe, in caso contrario copia se stesso usando questo nome nel valore ScrSvrOld all’interno della chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. dopo aver compiuto tutti i controlli del caso per assicurarsi una esecuzione efficace sulla macchina, verificherà se è attualmente in esecuzione attraverso la creazione di un Mutex (oggetto di sistema di Windows usato generalmente per la sincronizzazione) con il nome ScrSvr31415
5. se non è ancora in esecuzione, il worm registrerà se stesso come processo, nel caso in cui il sistema operativo della macchina ospite appartenga alla famiglia Windows 9x; se invece l’infezione è in atto su sistemi di tipo NT innalzerà la priorità del suo processo.
6. enumera la rete e cerca condivisioni aperte; all’interno di ogni condivisione trovata copia in C:\Windows\ il file scrsvr.exe.
7. modifica il file “c\windows\win.ini” inserendo il riferimento “run= c:\tmp.ini”
8. crea il file “c:\tmp.ini” che contiene il comando “run= c:\Windows\scrsvr.exe”

Il worm sembra in grado di aggiornarsi collegandosi a un particolare sito, il cui indirizzo è codificato all’interno del programma virale, scaricando il file “scrupd.exe” sulla macchina ospite.
Virus SCRSVR.EXE - W32.Opaserv.Worm
Non riesco ad estirpare questo virus:SCRSVR.EXE - W32.Opaserv.Worm pur avendolo costantemente cancellato con il mio Norton antivirus.
Purtroppo ad ogni accensione del mio computer viene sempre il messaggio di errore dove il programma SCRSVR.EXE non può essere eseguito.

Nel prime righe del file WIN.INI compare quanto segue:

[windows]
load=
NullPort=None
device=HP LaserJet 2200 Series PCL 5e,hpbf3210,\\Banco\hp2200
run=C:\WINDOWS\SCRSVR.EXEc:\windows\scrsvr.exe

Provvedo ad eliminare l'ultima riga e funziona tutto però dopo due o tre accensioni ricompare di nuovo.
Grazie per l'aiuto

Il problema consiste nel fatto che questo worm arriva via internet. Queso significa che anche dopo
aver disinfettato completamente un PC è sufficiente collegarsi ad Internet per infettarsi nuovamente.

Il virus OpaSoft è in grado di effettuare una scansione non solo di indirizzi IP della rete locale ma anche di indirizzi IP pubblici. Le macchine maggiormente soggette a rischio di infezione sono quelle con sistema operativo Windows 95/98/Me che effettuano connessioni ad Internet (ottenendo quindi un indirizzo IP pubblicamente accessibile). Se questi computer hanno risorse condivise, nel momento in cui effettuano una connessione ad Internet costituiscono un potenziale bersaglio da parte di altri sistemi infetti da OpaSoft. Per questo motivo si consiglia di:
1- Disabilitare, qualora non siano strettamente necessarie, le risorse condivise su tali computer (click con il tasto destro su "Risorse di Rete"->"File e Stampanti condivise"->disabilitare la condivisione delle stampanti e dei file) oppure
2- Proteggere tali risorse da password (in questo caso è però buona norma utilizzare password non banali, poichè OpaSoft esegue un brute-force attack provando diverse password per accedere alle risorse) oppure
3- Utilizzare un Firewall oppure un Personal Firewall in grado di bloccare i pacchetti UDP in ingresso sulla porta 137 oppure le connessioni dirette verso la porta 139, in modo da inibire la scansione dell'OpaSoft.

 
 

Copyright © 2000-02 biellacitta.com - Tutti i diritti sono riservati / All rights reserved
E' vietata la riproduzione anche parziale -Risoluzione ottimale 1024 x 768
Attenzione : Tutto il sito è stato progettato e realizzato da Biellacitta.com
NON è stato utilizzato nessun prodotto Nuke e affini
MTB Biellese Biellaonline
Casaliggi Webstyler
...vuoi il tuo link qui ?
Shoutbox attualmente disabilitato a causa del continuo spam. Stiamo aggiornando versione :-)
  @biellacitta.zzn.com
 
IN FASE DI COMPLETAMENTO
IN FASE DI COMPLETAMENTO